Chiến Dịch Malware SERPENTINE#CLOUD: Phân Tích và Bảo Mật Hệ Thống

Malware Campaign SERPENTINE#CLOUD: Phân Tích và Khuyến Nghị Bảo Mật

Một chiến dịch malware tinh vi với tên mã SERPENTINE#CLOUD vừa xuất hiện, tận dụng hạ tầng Cloudflare Tunnel để triển khai malware dựa trên Python nhắm vào các hệ thống Windows tại các quốc gia phương Tây như Hoa Kỳ, Vương Quốc Anh và Đức. Bài viết này sẽ phân tích chi tiết chiến dịch, bao gồm các kỹ thuật tấn công (TTPs), cơ sở hạ tầng, chỉ số nguy cơ (IOCs) và các biện pháp khắc phục.

Tổng Quan về Chiến Dịch

Chiến dịch SERPENTINE#CLOUD sử dụng một chuỗi lây nhiễm đa giai đoạn phức tạp, được thiết kế để đảm bảo tính ẩn náu và duy trì lâu dài trên hệ thống mục tiêu. Các kỹ thuật được triển khai bao gồm nhiều công cụ và phương pháp tấn công hiện đại, tận dụng cả các dịch vụ đám mây hợp pháp để che giấu hoạt động độc hại.

Kỹ Thuật Tấn Công (TTPs – MITRE ATT&CK IDs)

Chiến dịch này sử dụng một loạt các kỹ thuật tấn công tinh vi để đạt được mục tiêu:

• Phishing emails: Email lừa đảo với chủ đề giả mạo hóa đơn để lừa người dùng mở tệp đính kèm.
• Obfuscated scripts: Sử dụng các tập lệnh được mã hóa để che giấu mã độc.
• Memory-injected payloads: Gói mã độc được tiêm trực tiếp vào bộ nhớ để tránh phát hiện.
• In-memory code execution: Thực thi mã trực tiếp trong bộ nhớ mà không ghi xuống đĩa.
• Living-off-the-land (LOTL) techniques: Sử dụng các công cụ và tính năng hợp pháp của hệ thống để thực hiện hành vi độc hại.
• WebDAV transport over HTTPS: Truyền dữ liệu độc hại qua giao thức WebDAV trên HTTPS.
• Cloudflare Tunnel subdomains: Sử dụng các subdomain như trycloudflare[.]com để lưu trữ và phân phối payload.

Cơ Sở Hạ Tầng Tấn Công

Chiến dịch tận dụng hạ tầng Cloudflare Tunnel để lưu trữ các payload độc hại. Các payload này được phân phối thông qua email lừa đảo chứa tệp đính kèm dạng ZIP, trong đó có các tệp shortcut độc hại (.lnk) nhằm khởi động chuỗi lây nhiễm khi người dùng mở tệp.

Chỉ Số Nguy Cơ (IOCs – Indicators of Compromise)

Dưới đây là các chỉ số nguy cơ liên quan đến chiến dịch SERPENTINE#CLOUD, giúp các tổ chức nhận diện và ứng phó với mối đe dọa:

• Phương thức truy cập ban đầu: Tệp .lnk được ngụy trang dưới dạng tài liệu PDF.
• Phân phối Payload: Tệp Windows Script File (WSF) được thực thi bằng cscript.exe.
• Thực thi Payload: Tệp kiki.bat được tải xuống từ một tên miền Cloudflare từ xa.
• Duy trì truy cập (Persistence): Payload được tải xuống và lưu trữ trong thư mục khởi động của người dùng.
• Tên các Payload Python:
  • Jun02_an.py
  • Jun02_as.py
  • Jun02_hv.py
  • Jun02_uk.py
  • Jun02_xw3.py
  • Wsandy1.py
  • Wsandy2.py
  • Wsandy3.py
  • Okwan1.py
  • Okwan2.py
  • Okwan3.py

Lưu ý: Thông tin về hash của các tệp không được cung cấp trong phạm vi phân tích này.

Khuyến Nghị Phòng Ngừa và Ứng Phó

Để giảm thiểu rủi ro từ chiến dịch SERPENTINE#CLOUD, các tổ chức và quản trị viên hệ thống nên áp dụng các biện pháp sau:

• Chặn URL: Ngăn chặn truy cập đến các subdomain Cloudflare Tunnel như trycloudflare[.]com.
• Lọc Email: Triển khai các giải pháp lọc email mạnh mẽ để phát hiện và chặn email lừa đảo chứa tệp đính kèm dạng ZIP.
• Bảo mật Endpoint: Sử dụng các giải pháp bảo mật trên endpoint có khả năng phát hiện và ngăn chặn thực thi mã trong bộ nhớ (in-memory code execution).
• Tăng cường Khả Năng Quan Sát Mạng: Nâng cao khả năng giám sát lưu lượng mạng để phát hiện và chặn lưu lượng WebDAV qua HTTPS.

Kết Luận

Chiến dịch SERPENTINE#CLOUD là một mối đe dọa mạng phức tạp, kết hợp kỹ thuật lừa đảo xã hội (social engineering), phương pháp sống nhờ đất (LOTL), và thực thi mã trong bộ nhớ để tránh bị phát hiện. Việc sử dụng hạ tầng Cloudflare Tunnel để phân phối các payload Python qua email lừa đảo đặt ra thách thức lớn trong việc phân biệt các hoạt động hợp pháp và độc hại. Các tổ chức nên ưu tiên triển khai các biện pháp bảo mật được khuyến nghị để bảo vệ hệ thống trước mối đe dọa này.